Durante algumas semanas todos os nossos DCs receberam milhares de logins com falha para “Administrador”. Logs do visualizador de eventos abaixo das mensagens, NOTA não temos computadores ou servidores na rede com os nomes, eles parecem muito genéricos. Tentamos rastrear as conexões, mas ProcessMonitor, Antimalware, portas internas etc. não mostram nada. Alguém com ideias de como rastrear isso ainda mais?
EventID: 4776 Tipo: REDE
Logon Account: Administrator
Source Workstation: Windows2016
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: FreeRDP
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows2012
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.
Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Logon Account: Administrator
Source Workstation: Windows10
Error Code: 0xc000006a
The computer attempted to validate the credentials for an account.```
Responder1
Você pode executar o Wireshark no servidor e procurar o tráfego Kerberos. Esta será uma abordagem demorada se você tiver muitos servidores no domínio.